A Microsoft expôs um caso astuto de abuso de aplicativos OAuth que permitiu que os invasores reconfigurassem o servidor Exchange da vítima para enviar spam.
O objetivo do ataque elaborado era fazer com que o spam em massa – promovendo um sorteio falso – parecesse originado do domínio comprometido do Exchange, em vez das origens reais, que eram seu próprio endereço IP ou serviços de marketing por e-mail de terceiros, de acordo com a Microsoft. .
O truque do sorteio foi usado para induzir os destinatários a fornecer detalhes do cartão de crédito e a se inscrever em assinaturas recorrentes.
“Embora o esquema possivelmente tenha levado a cobranças indesejadas de alvos, não havia evidências de ameaças à segurança, como phishing de credenciais ou distribuição de malware”, disse a equipe de pesquisa do Microsoft 365 Defender.
Também: O que, exatamente, é cibersegurança? E por que isso importa?
Para fazer o servidor Exchange enviar seu spam, os invasores primeiro comprometeram o locatário de nuvem mal protegido do alvo e, em seguida, obtiveram acesso a contas de usuário privilegiadas para criar aplicativos OAuth maliciosos e privilegiados no ambiente. OAuth apps permitir que os usuários concedam acesso limitado a outros apps, mas os invasores aqui o usaram de maneira diferente.
Nenhuma das contas de administrador visadas tinha a autenticação multifator (MFA) ativada, o que poderia ter interrompido os ataques.
“Também é importante observar que todos os administradores comprometidos não tinham o MFA ativado, o que poderia ter interrompido o ataque. Essas observações ampliam a importância de proteger contas e monitorar usuários de alto risco, especialmente aqueles com altos privilégios”, disse a Microsoft.
Uma vez dentro, eles usaram o Azure Active Directory (AAD) para registrar o aplicativo, adicionaram uma permissão para autenticação somente de aplicativo do módulo Exchange Online PowerShell, concederam o consentimento de administrador para essa permissão e, em seguida, deram funções de administrador global e administrador do Exchange para o recém-registrado aplicativo.
“O agente da ameaça adicionou suas próprias credenciais ao aplicativo OAuth, o que permitiu que eles acessassem o aplicativo mesmo que o administrador global comprometido inicialmente alterasse sua senha”, observa a Microsoft.
“As atividades mencionadas deram ao agente da ameaça o controle de um aplicativo altamente privilegiado.”
Com tudo isso em vigor, os invasores usaram o aplicativo OAuth para se conectar ao módulo Exchange Online PowerShell e alterar as configurações do Exchange, para que o servidor roteasse spam de seus próprios endereços IP relacionados à infraestrutura do invasor.
Para fazer isso, eles usaram um recurso do servidor Exchange chamado “de Saúde” para personalizar a forma como os emails fluem de e para organizações que usam o Microsoft 365/Office 365. O ator criou um novo conector de entrada e configurou uma dúzia de “regras de transporte” para o Exchange Online que excluiu um conjunto de cabeçalhos no spam roteado pelo Exchange para aumentar a taxa de sucesso da campanha de spam. A remoção dos cabeçalhos permite que o email evite a detecção por produtos de segurança.
“Após cada campanha de spam, o ator excluiu o conector de entrada malicioso e as regras de transporte para impedir a detecção, enquanto o aplicativo permaneceu implantado no locatário até a próxima onda do ataque (em alguns casos, o aplicativo ficou inativo por meses antes de ser reutilizado pelo agente da ameaça)”, explica a Microsoft.
A Microsoft detalhou no ano passado como os invasores estavam abusando do OAuth para phishing de consentimento. Outros usos conhecidos de aplicativos OAuth para fins maliciosos incluem comunicação de comando e controle (C2), backdoors, phishing e redirecionamentos. Até a Nobelium, o grupo que atacou a SolarWinds em um ataque à cadeia de suprimentos, abusou do OAuth para permitir ataques mais amplos.